JP3643087B2 - Communication network, router and distributed denial-of-service attack detection protection method - Google Patents
Communication network, router and distributed denial-of-service attack detection protection method Download PDFInfo
- Publication number
- JP3643087B2 JP3643087B2 JP2002091785A JP2002091785A JP3643087B2 JP 3643087 B2 JP3643087 B2 JP 3643087B2 JP 2002091785 A JP2002091785 A JP 2002091785A JP 2002091785 A JP2002091785 A JP 2002091785A JP 3643087 B2 JP3643087 B2 JP 3643087B2
- Authority
- JP
- Japan
- Prior art keywords
- counting
- function
- tcp
- alarm
- communication network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明はIP通信網におけるDOS攻撃(Denial of Services attack)に対処するインターネットセキュリティ向上技術の分野に属する。
【0002】
【従来の技術】
分散型サービス拒絶攻撃(DDOSA:Distributed Denial of Services Attack)について、図7ないし図9を参照して説明する。図7は従来の通信網の概念図である。図8は3ウェイハンドシェークを説明するための図である。図9はTCP/IPパケットのフォーマットを示す図である。1〜4は外部通信網で、外部通信網1にはルータ10〜12が、外部通信網2にはルータ20〜22が、外部通信網3にはルータ30〜32が、外部通信網4にはルータ40〜42がそれぞれ属している。
【0003】
ボーダルータ44〜49が通信網5によりそれぞれ結ばれている。分散型サービス拒絶攻撃をしかける悪意のあるユーザは複数の分散したサイト端末13および23から外部通信網1内のルータ10および外部通信網2内のルータ20を経由して通信網5内のターゲットサーバ57に、TCP−SYN(コネクション確立要求)パケット攻撃を一斉にしかける。
【0004】
これらのTCP−SYNパケットがそれぞれ図8に示す3ウェイハンドシェークでTCPセッション確立を試み、この3ウェイハンドシェークのセッション途中で悪意のあるユーザのサイト端末13側あるいは23側がセッション放棄する。すなわち、図8において悪意のあるユーザのサイト端末13あるいは23は▲2▼のTCP−ACK(確認応答)+SYNパケットを受信しても▲3▼のTCP−ACKパケットを出さない。これによりターゲットサーバ57は、このTCP−ACKパケットの待ちの状態を続けるので、このようなTCP−SYNパケット攻撃を頻繁に多数受けるとターゲットサーバ57は過負荷状態に陥りサーバ機能が停止してしまう。
【0005】
TCPセッションの確立時におけるTCP−SYNパケットの働きおよびTCP/IPパケットのフォーマットの概要を以下に説明する。図9はTCP/IPパケットのフォーマット説明図である。TCP/IPパケットはIP通信網の基本的な通信手順であるTCPとIPのパケットであり、その詳しい構成がIPヘッダ(IP header)、TCPヘッダ(TCP header)として図9に示されている。IPヘッダは宛先のサーバやルータのアドレス(Destination Address:以下DAと略す)や発信元アドレス(Source Address:以下SAと略す)などを含む20Byteで構成され、TCPヘッダはSYN(コネクション確立要求(SYN=1))やACK(確認応答(ACK=1))などの制御フラグを含む20Byte(オプション無し)の構成である。
【0006】
図8の3ウェイハンドシェークによる通信確立を詳細に説明する。TCP/IPによるコネクションの確立はまずサイト端末13がTCP−SYNパケット(図9でSYN=1としたパケット)を送信先のターゲットサーバ57に送ると(図8の▲1▼)、ターゲットサーバ57はTCP−ACK+SYNパケット(図9でACK=1、SYN=1としたパケット)を送り返し(図8の▲2▼)、ここで端末が正常な端末であればTCP−ACKパケット(図9でACK=1としたパケット)を送り返し(図3の▲3▼)、この▲3▼の段階で“3ウェイハンドシェーク”が成立し、サイト端末13とターゲットサーバ57による通信が開始する段取りであるが、悪意のあるユーザのサイト端末13がTCP−SYNパケット攻撃をする場合には▲3▼TCP−ACKパケットを送り返さず、ターゲットサーバ57はこのパケット待ちの状態を続けるので、このようなTCP−SYNパケット攻撃を頻繁に多数受けるとターゲットサーバ57は過負荷状態に陥りサーバ機能が停止してしまう。
【0007】
【発明が解決しようとする課題】
このように、分散型サービス拒絶攻撃は、悪意のあるユーザが複数の分散したサイト端末を踏み台にし、特定のWebサーバに無数のTCPセッション確立を試みることで過負荷にする攻撃であり、TCPセッションの送信元が分散しているため、悪意のあるユーザのサイト端末を特定するのが困難であり、拒絶攻撃に対する対策を立てることも困難である。
【0008】
本発明は、このような背景に行われたものであって、分散型サービス拒絶攻撃のような悪意のあるユーザからの高度な攻撃を検出し、悪意呼の網流入の制限や停止を行うなど的確なアクションをとることによりターゲットサーバが過負荷に陥ることを免れることができる通信網およびルータおよびプログラムおよび記録媒体および分散型サービス拒絶攻撃検出防御方法を提供することを目的とする。
【0009】
【課題を解決するための手段】
本発明は、通信網における複数のボーダルータがTCP−SYNパケットを監視し、宛先毎にTCP−SYNパケットを計数および集計し、この集計結果を複数のボーダルータ相互間で交換することにより、これらのボーダルータを経由して当該通信網に流入するTCP−SYNパケットを監視し、同一宛先に対して異常な個数で流入するTCP−SYNパケットについては、これを分散型サービス拒絶攻撃を目的とするTCP−SYNパケットと判断してこの流入を抑制することを特徴とする。
【0010】
すなわち、本発明の第一の観点は、複数の外部通信網にそれぞれ接続された複数のボーダルータを備えた通信網であって、本発明の特徴とするところは、前記ボーダルータは、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する手段を備え、この監視する手段は、同一宛先アドレスを有するTCP−SYNパケットの個数を計数する手段と、この計数する手段の計数結果を他ボーダルータに通知する手段と、他ボーダルータからの前記計数する手段の計数結果を受け取る手段と、この受け取る手段により受け取った他ボーダルータにおける計数結果および前記計数する手段による自ボーダルータの計数結果に基づき計数結果を集計する手段とを備え、この集計する手段は、前記計数結果の所定時間内の増加率を検出する手段と、この検出する手段の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する手段とを備えたところにある。
【0011】
さらに、前記集計する手段は、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定する手段を備え、前記警報を発出する手段は、前記検出する手段の検出結果が閾値を超えるときには当該特定する手段により特定された送信元アドレスの情報を前記警報に書込む手段を備えることもできる。
【0012】
前記警報を発出する手段から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する手段を備えることが望ましい。
【0013】
これにより、分散型サービス拒絶攻撃を行っている悪意のあるユーザのサイト端末が特定できれば、宛先アドレスによるTCP−SYNパケット流入抑制とともに送信元アドレスによる流入抑制も行えるため、宛先アドレスのみによる流入抑制と比較してより確実な流入抑制効果を期待することができる。
【0014】
例えば、宛先アドレスによるTCP−SYNパケットの流入抑制では、悪意のあるユーザのサイト端末以外の一般の端末からのTCP−SYNパケットも流入が抑制されてしまう可能性があるが、送信元アドレスによる流入抑制ができれば、悪意のあるユーザのサイト端末によるものとそうでないものとを区別して抑制することができる。さらに、このサイト端末のユーザに対して以後、このような行為を行わないように警告を送付することもできる。
【0015】
前記通知する手段および前記受け取る手段は、I−BGP(Internet-Border Gateway Protocol)を用いて前記計数結果を送受信する手段を備えることが望ましい。すなわち、TCP−IPはインターネット通信の基本である第3層、第4層に関する通信であるのに対し、I−BGPは動的経路プロトコルであり、AS(自立システム)内で使用する境界ゲートウェイプロトコルによる通信機能である。これにより、通常のデータ通信とは異なる独立した確実かつ速やかな通信を行うことができるので、分散型サービス拒絶攻撃を確実かつ速やかに検出して防御することができる。
【0016】
本発明の第二の観点はルータであって、本発明の特徴とするところは、外部通信網に接続され、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する手段を備え、この監視する手段は、同一宛先アドレスを有するTCP−SYNパケットの個数を計数する手段と、この計数する手段の計数結果を他ボーダルータに通知する手段と、他ボーダルータからの前記計数する手段の計数結果を受け取る手段と、この受け取る手段により受け取った他ボーダルータにおける計数結果および前記計数する手段による自ボーダルータの計数結果に基づき計数結果を集計する手段とを備え、この集計する手段は、前記計数結果の所定時間内の増加率を検出する手段と、この検出する手段の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する手段とを備えたところにある。
【0017】
前記集計する手段は、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定する手段を備え、前記警報を発出する手段は、前記検出する手段の検出結果が閾値を超えるときには当該特定する手段により特定された送信元アドレスの情報を前記警報に書込む手段を備えることもできる。
【0018】
前記警報を発出する手段から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する手段を備えることが望ましい。
【0019】
前記通知する手段および前記受け取る手段は、I−BGPを用いて前記計数結果を送受信する手段を備えることが望ましい。
【0020】
本発明の第三の観点はプログラムであって、本発明の特徴とするところは、情報処理装置にインストールすることにより、その情報処理装置に、外部通信網に接続されたルータを制御する装置に相応する機能として、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する機能を実現させ、この監視する機能として、同一宛先アドレスを有するTCP−SYNパケットの個数を計数する機能と、この計数する機能の計数結果を他ボーダルータに通知する機能と、他ボーダルータからの前記計数する機能の計数結果を受け取る機能と、この受け取る機能により受け取った他ボーダルータにおける計数結果および前記計数する機能による自ボーダルータの計数結果に基づき計数結果を集計する機能とを実現させ、この集計する機能として、前記計数結果の所定時間内の増加率を検出する機能と、この検出する機能の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する機能とを実現させるところにある。
【0021】
前記集計する機能として、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定する機能を実現させ、前記警報を発出する機能として、前記検出する機能の検出結果が閾値を超えるときには当該特定する機能により特定された送信元アドレスの情報を前記警報に書込む機能を実現させることもできる。
【0022】
前記警報を発出する機能から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する機能を実現させることが望ましい。
【0023】
前記通知する機能および前記受け取る機能として、I−BGPを用いて前記計数結果を送受信する機能を実現させることが望ましい。
【0024】
本発明の第四の観点は、本発明のプログラムが記録された前記情報処理装置読取可能な記録媒体である。本発明のプログラムは本発明の記録媒体に記録されることにより、前記情報処理装置は、この記録媒体を用いて本発明のプログラムをインストールすることができる。あるいは、本発明のプログラムを保持するサーバからネットワークを介して直接前記情報処理装置に本発明のプログラムをインストールすることもできる。
【0025】
これにより、コンピュータ装置等の情報処理装置を用いて、分散型サービス拒絶攻撃のような悪意のあるユーザからの高度な攻撃を検出し、悪意呼の網流入の制限や停止を行うなど的確なアクションをとることによりターゲットサーバが過負荷に陥ることを免れることができるルータを備えた通信網を実現することができる。
【0026】
本発明の第五の観点は、複数の外部通信網にそれぞれ接続された複数のボーダルータを備えた通信網に適用される分散型サービス拒絶攻撃検出防御方法であって、本発明の特徴とするところは、前記ボーダルータにより、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視し、同一宛先アドレスを有するTCP−SYNパケットの個数を計数し、この計数結果を他ボーダルータに通知するとともに他ボーダルータからの計数結果を受け取り、この受け取った他ボーダルータにおける計数結果および自ボーダルータの計数結果に基づき計数結果を集計し、この計数結果の所定時間内の増加率を検出し、この検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出するところにある。
【0027】
集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定し、警報を発出する際には、この特定された送信元アドレスの情報を前記警報に書込むこともできる。
【0028】
発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制することが望ましい。
【0029】
前記ボーダルータ相互間では、I−BGPを用いて前記計数結果を送受信することが望ましい。
【0030】
【発明の実施の形態】
本発明実施例の通信網を図1ないし図6を参照して説明する。図1は本実施例の通信網の概念図である。図2は本実施例のボーダルータの機能構成図である。図3および図4は本実施例の異常パケット検出手順を示す図である。図5は本実施例のボーダルータの動作を示すフローチャートである。図6は本実施例の図1より多くの攻撃地点を有する通信網の概念図である。
【0031】
本実施例は、図1に示すように、複数の外部通信網1〜4にそれぞれ接続された複数のボーダルータ51〜56を備えた通信網5であって、本実施例の特徴とするところは、ボーダルータ51〜56は、図2に示すように、自通信網5に流入するコネクション確立要求を含むTCP−SYNパケットを監視する分散型サービス拒絶攻撃検出防御部515を備え、この分散型サービス拒絶攻撃検出防御部515は、同一宛先アドレスを有するTCP−SYNパケットの個数を計数する流入TCP−SYNパケット計数機能511と、この流入TCP−SYNパケット計数機能511の計数結果を他ボーダルータに通知するとともに、他ボーダルータからの流入TCP−SYNパケット計数機能511による前記計数結果を受け取るI−BGP通信機能513と、このI−BGP通信機能513により受け取った他ボーダルータにおける計数結果および流入TCP−SYNパケット計数機能511による自ボーダルータの計数結果に基づき計数結果を集計する流入パケット異常判定機能512とを備え、この流入パケット異常判定機能512は、前記計数結果の所定時間内の増加率を検出し、この検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出するところにある。
【0032】
また、悪意のあるユーザのサイト端末が他の端末に成り代わっていない場合には、流入パケット異常判定機能512は、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定することができ、当該特定された送信元アドレスの情報を前記警報に書込むことができる。
【0033】
ルータ基本機能510は、流入パケット異常判定機能512から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する。
【0034】
また、I−BGP通信機能513は、I−BGPを用いて前記計数結果を送受信する。
【0035】
以下では、本実施例をさらに詳細に説明する。
【0036】
本実施例の通信網5は、図1に示すように、ボーダルータ51〜56が通信網5に流入するTCP−SYNパケットをモニタし、宛先毎のTCP−SYNパケットを計数および集計し、全ボーダルータ51〜56はTCP−SYNパケットの前記集計の結果としての情報をI−BGPを用いて相互に交換通知しあい、悪意呼であるTCP−SYNパケットが異常に流入すると判明したボーダルータ51および52は送信元のサイト端末13および23からのターゲットサーバ57宛のTCP−SYNパケットの流入量を抑制するかあるいは全て廃棄することでターゲットサーバ57は過負荷の状態から解放される。
【0037】
図2に示すように、ルータ基本機能510は、IPパケットを宛先ホストに届けるための中継(ルーティング)機能をはじめ各種ネットワーク層(第3層)プロトコルに対応したマルチプロトコル機能を含んでいる。また、本実施例では、流入パケット異常判定機能512から発出される警報に基づき、TCP−SYNパケットを廃棄する機能も備えている。
【0038】
流入TCP−SYNパケット計数機能511はTCP−SYNパケットの送信元IPアドレス、宛先IPアドレス、情報量、時刻に対応して当該パケット数を計数する。また、流入パケット異常判定機能512は、流入TCP−SYNパケット計数機能511の計数結果を時系列的に比較して単位時間当りの集計データが正常かあるいは異常かを判定する。例えば、単位時間Δt当り増加率が100倍になれば異常と判定する。
【0039】
TCP−IP通信機能514はインターネット通信の基本である第3層、第4層に関する通信機能である。また、I−BGP通信機能513は動的経路プロトコルであり、AS(自立システム)内で使用する境界ゲートウェイプロトコルによる通信機能である。
【0040】
各ボーダルータ51〜56は通信網5に流入する全てのTCP−SYNパケットを監視しており、その監視の結果、例えば、ボーダルータ51が悪意のあるユーザのサイト端末13からの宛先がターゲットサーバ57であるTCP−SYNパケットが単位時間Δt当り増加率で100倍になり異常に多いと判定した場合には、当該パケットの例えば99%を破棄し、またボーダルータ52が悪意のあるユーザのサイト端末23からの宛先がターゲットサーバ57であるTCP−SYNパケットが異常に多いと判定した場合には、当該パケットの例えば99%を破棄する。このようにしてターゲットサーバ57が過負荷に陥ることを未然に防止できる。
【0041】
ボーダルータ51によるTCP−SYNパケットの監視は自らの流入TCP−SYNパケット計数機能511によるデータ分とI−BGP通信機能513により他のボーダルータ52〜56からI−BGP動的経路プロトコルを用いて入手したデータ分とがあり、この両データ分を併せて流入パケット異常判定機能512で異常判定を行う。
【0042】
図3および図4は異常パケット検出手順を示している。図3の例では、まず、流入TCP−SYNパケット計数機能511により、TCP flagでSYN=1のTCP−SYNパケットを抽出し、パケットヘッダのDA(宛先IPアドレス)を引き出してエントリに追加し、そのエントリにマッチしたもの毎にカウントアップする。続いて、流入パケット異常判定機能512により、SYNパケットが集中している特定のDAを見つけ出す。図4の例では、TCP−SYNパケットが集中したDA=218.60.32.1のパケットのリストアップ状況が示され、集中しているこのDAのリスト表上でさらに、SA(送信元IPアドレス)毎に仕分けし、送信元の特定をする。このようにしてターゲットサーバがDA=218.60.32.1であり、悪意のあるユーザのサイト端末のSAが判明する。
【0043】
DDOSが巧妙な場合はSA毎の仕分けは困難な場合がある。例えば悪意のあるユーザのサイト端末13が他の外部通信網2〜3内の端末のIPアドレスを盗用して成り代わり端末攻撃をする場合にはSA毎の仕分けは無意味となる。
【0044】
図5は本実施例のボーダルータの動作を示すフローチャートである。
【0045】
ステップ1:各ボーダルータ51〜56において流入するTCP−SYNパケットを流入TCP−SYNパケット計数機能511がモニタし、DAのリストを作成して計数する(図3)。モニタ計数時間は時刻(T0+nΔt)から時刻(T0+(n+1)Δt)とする(n=0,1,2,3,…)
ステップ2:各ボーダルータの流入TCP−SYNパケット計数機能511は集中しているDAのリスト上でSA毎に仕分け計数する(図4)
ステップ3:時刻(T0+nΔt)からの単位時間Δtの計数情報としてステップ2の出力リストの上位5位および増加率上位5位のDAおよびSA情報をI−BGP通信機能513により、それぞれ他のボーダルータに通知する
ステップ4:各ボーダルータ毎に流入TCP−SYNパケット計数機能511はステップ2の出力情報とステップ3の出力情報とから時刻(T0+nΔt)のΔtの単位時間の間に全ボーダルータから流入したTCP−SYNパケットにつき、SAのIPアドレス、DAのIPアドレス、情報量、時刻に対応して当該パケット数を計数し、流入パケット異常判定機能512は、単位時間Δt当りの増加パケット数を集計してランクアップする
ステップ5:流入パケット異常判定機能512により、単位時間当りの増加率が例えば100倍になるSAまたはDAがあるかを判定する。“ある”場合はステップ6へ、“なし”の場合はステップ4へ
ステップ6:単位時間当りの増加率が100倍になるSAまたはDAを有するTCP−SYNパケットが流入するボーダルータのルータ基本機能510は流入量を抑制あるいはこのパケットを全パケット廃棄する
このようにして悪意呼によるターゲットサーバ57の過負荷を防ぐことが可能となる。
【0046】
また、図6に示すように、悪意のあるユーザのサイト端末はサイト端末13、23に加えてサイト端末33、43と多くの地点からターゲットサーバ57を攻撃する場合は、宛先IPアドレスがターゲットサーバ57である悪意呼のTCP−SYNパケットが多く検出されるのは、ボーダルータ51、52、54、55であるという判定が各ボーダルータ51〜56でなされ、この宛先IPアドレスがターゲットサーバ57である悪意呼のTCP−SYNパケットは例えば99%が各ボーダルータ51、52、54、55にて破棄され、ターゲットサーバ57は過負荷を免れる。
【0047】
本実施例のボーダルータ51〜56を制御する装置は情報処理装置であるコンピュータ装置を用いて実現することができる。すなわち、コンピュータ装置にインストールすることにより、そのコンピュータ装置に、外部通信網1〜4に接続されたボーダルータ51〜56を制御する装置に相応する機能として、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する分散型サービス拒絶攻撃検出防御部515に相応する機能を実現させ、この分散型サービス拒絶攻撃検出防御部515に相応する機能として、同一宛先アドレスを有するTCP−SYNパケットの個数を計数する流入TCP−SYNパケット計数機能511と、この流入TCP−SYNパケット計数機能511の計数結果を他ボーダルータに通知するとともに、他ボーダルータからの流入TCP−SYNパケット計数機能511の計数結果を受け取るI−BGP通信機能513と、このI−BGP通信機能513により受け取った他ボーダルータにおける計数結果および流入TCP−SYNパケット計数機能511による自ボーダルータの計数結果に基づき計数結果を集計する流入パケット異常判定機能512とを実現させ、この流入パケット異常判定機能512として、前記計数結果の所定時間内の増加率を検出する機能と、この検出する機能の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する機能と、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定する機能とを実現させ、前記警報を発出する機能として、前記検出する機能の検出結果が閾値を超えるときには当該特定する機能により特定された送信元アドレスの情報を前記警報に書込む機能を実現させ、さらに、前記警報を発出する機能から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する機能を実現させ、さらに、I−BGP通信機能513として、I−BGPを用いて前記計数結果を送受信する機能を実現させるプログラムをコンピュータ装置にインストールすることにより、そのコンピュータ装置を本実施例のボーダルータ51〜56を制御する装置に相応する装置とすることができる。
【0048】
本実施例のプログラムは本実施例の記録媒体に記録されることにより、コンピュータ装置は、この記録媒体を用いて本実施例のプログラムをインストールすることができる。あるいは、本実施例のプログラムを保持するサーバからネットワークを介して直接コンピュータ装置に本実施例のプログラムをインストールすることもできる。
【0049】
これにより、コンピュータ装置を用いて、分散型サービス拒絶攻撃のような悪意のあるユーザからの高度な攻撃を検出し、悪意呼の網流入の制限や停止を行うなど的確なアクションをとることによりターゲットサーバが過負荷に陥ることを免れることができるボーダルータ51〜56を備えた通信網5を実現することができる。
【0050】
(実施例まとめ)
EC(Electric Commerce)が発展するにつれて、Webサイトの保護はセキュリティの観点から今後ますます重要となる。本実施例によれば分散型サービス拒絶攻撃のような悪意のあるユーザからの高度な攻撃を検出し、悪意呼の通信網流入の制限や停止を行うなど的確なアクションをとることによりターゲットサーバが過負荷に陥ることを免れることができる。
【0051】
【発明の効果】
以上説明したように、本発明によれば、分散型サービス拒絶攻撃のような悪意のあるユーザからの高度な攻撃を検出し、悪意呼の網流入の制限や停止を行うなど的確なアクションをとることによりターゲットサーバが過負荷に陥ることを免れることができる。
【図面の簡単な説明】
【図1】本実施例の通信網の概念図。
【図2】本実施例のボーダルータの機能構成図。
【図3】本実施例の異常パケット検出手順を示す図。
【図4】本実施例の異常パケット検出手順を示す図。
【図5】本実施例のボーダルータの動作を示すフローチャート。
【図6】本実施例の図1より多くの攻撃地点を有する通信網の概念図。
【図7】従来の通信網の概念図。
【図8】3ウェイハンドシェークを説明するための図。
【図9】TCP/IPパケットのフォーマットを示す図。
【符号の説明】
1〜4 外部通信網
5 通信網
10〜12、20〜22、30〜32、40〜42 ルータ
13、23、33、43 サイト端末
44〜49、51〜56 ボーダルータ
57 ターゲットサーバ
510 ルータ基本機能
511 流入TCP−SYNパケット計数機能
512 流入パケット異常判定機能
513 I−BGP通信機能
514 TCP−IP通信機能
515 分散型サービス拒絶攻撃検出防御部[0001]
BACKGROUND OF THE INVENTION
The present invention belongs to the field of Internet security improvement technology that copes with a DOS attack (Denial of Services attack) in an IP communication network.
[0002]
[Prior art]
A distributed denial of service attack (DDOSA) will be described with reference to FIGS. FIG. 7 is a conceptual diagram of a conventional communication network. FIG. 8 is a diagram for explaining the 3-way handshake. FIG. 9 is a diagram showing a format of a TCP / IP packet. 1 to 4 are external communication networks, the external communication network 1 includes
[0003]
[0004]
Each of these TCP-SYN packets tries to establish a TCP session by the 3-way handshake shown in FIG. 8, and the
[0005]
An outline of the function of the TCP-SYN packet and the format of the TCP / IP packet when establishing a TCP session will be described below. FIG. 9 is an explanatory diagram of the format of a TCP / IP packet. TCP / IP packets are TCP and IP packets, which are basic communication procedures of an IP communication network, and their detailed configurations are shown in FIG. 9 as an IP header (TCP header) and a TCP header (TCP header). The IP header is composed of 20 bytes including a destination server or router address (Destination Address: hereinafter abbreviated as DA), a source address (Source Address: hereinafter abbreviated as SA), and the TCP header is SYN (connection establishment request (SYN). = 1)) and ACK (acknowledgment response (ACK = 1)) and other control flags including 20 bytes (no option).
[0006]
Communication establishment by the 3-way handshake in FIG. 8 will be described in detail. To establish a connection by TCP / IP, first, when the
[0007]
[Problems to be solved by the invention]
Thus, the distributed denial-of-service attack is an attack in which a malicious user overloads a plurality of distributed site terminals as a stepping stone and attempts to establish countless TCP sessions with a specific Web server. Since the transmission sources of the user are distributed, it is difficult to identify a malicious user's site terminal, and it is also difficult to take measures against a rejection attack.
[0008]
The present invention has been implemented against this background, and detects advanced attacks from malicious users such as distributed denial-of-service attacks to limit or stop malicious calls from entering the network. It is an object of the present invention to provide a communication network, a router, a program, a recording medium, and a distributed denial-of-service denial-of-service detection and protection method that can avoid the target server from being overloaded by taking an appropriate action.
[0009]
[Means for Solving the Problems]
In the present invention, a plurality of border routers in a communication network monitor TCP-SYN packets, count and aggregate TCP-SYN packets for each destination, and exchange these aggregation results among the plurality of border routers. TCP-SYN packets flowing into the communication network via the border router of the same are monitored, and TCP-SYN packets that flow in an abnormal number for the same destination are used for distributed denial-of-service attacks. This inflow is suppressed by judging that the packet is a TCP-SYN packet.
[0010]
That is, a first aspect of the present invention is a communication network including a plurality of border routers respectively connected to a plurality of external communication networks. The feature of the present invention is that the border router A means for monitoring TCP-SYN packets including a connection establishment request flowing into the network; the means for monitoring includes means for counting the number of TCP-SYN packets having the same destination address; and a counting result of the means for counting , A means for receiving the counting result of the counting means from the other border router, a counting result in the other border router received by the receiving means, and a count of the own border router by the counting means Means for counting the counting results based on the results, and the counting means is a rate of increase of the counting results within a predetermined time. Means for detecting the detection result of means for the detection when exceeding the threshold value is in place and means for issuing an alarm containing information of the same destination address.
[0011]
Furthermore, the means for counting includes means for specifying a source address of a TCP-SYN packet having the same destination address that has been counted, and the means for issuing the alarm has a detection result of the detecting means exceeding a threshold value. In some cases, a means for writing the information of the transmission source address specified by the specifying means in the alarm can be provided.
[0012]
It is desirable to provide means for suppressing the inflow of the TCP-SYN packet having the same destination address or the source address included in the alarm based on the alarm issued from the means for issuing the alarm into the communication network.
[0013]
As a result, if the site terminal of a malicious user performing a distributed denial-of-service attack can be identified, the inflow suppression by the source address as well as the TCP-SYN packet inflow suppression by the destination address can be performed. In comparison, a more reliable inflow suppression effect can be expected.
[0014]
For example, inflow suppression of TCP-SYN packets by destination address may suppress inflow of TCP-SYN packets from general terminals other than the malicious user's site terminal, but inflow by source address If it can be suppressed, it is possible to distinguish between a malicious user's site terminal and a non-malicious user's site terminal. Further, a warning can be sent to the user of the site terminal so as not to perform such an action.
[0015]
It is preferable that the notifying means and the receiving means include means for transmitting and receiving the counting result using I-BGP (Internet-Border Gateway Protocol). That is, TCP-IP is communication related to the third and fourth layers, which are the basics of Internet communication, whereas I-BGP is a dynamic route protocol, and is a boundary gateway protocol used in an AS (independent system). It is a communication function by. This makes it possible to perform reliable and quick independent communication different from normal data communication, so that it is possible to reliably and promptly detect and prevent a distributed service denial attack.
[0016]
A second aspect of the present invention is a router, and the present invention is characterized by comprising means for monitoring a TCP-SYN packet connected to an external communication network and including a connection establishment request flowing into the local communication network. The monitoring means includes means for counting the number of TCP-SYN packets having the same destination address, means for notifying the counting result of the counting means to another border router, and means for counting from the other border router. Means for receiving the counting results of the first and second border routers received by the receiving means and means for counting the counting results based on the counting results of the own border router by the counting means, the counting means comprising: Means for detecting an increase rate of the counting result within a predetermined time, and when the detection result of the detecting means exceeds a threshold, It is in place and means for issuing an alarm including information of the destination address.
[0017]
The means for counting includes means for specifying a source address of a TCP-SYN packet having the same destination address that has been counted, and the means for issuing an alarm is configured when the detection result of the detecting means exceeds a threshold value. Means for writing the information of the source address specified by the specifying means in the alarm may be provided.
[0018]
It is desirable to provide means for suppressing the inflow of the TCP-SYN packet having the same destination address or the source address included in the alarm based on the alarm issued from the means for issuing the alarm into the communication network.
[0019]
The notifying means and the receiving means preferably include means for transmitting and receiving the counting result using I-BGP.
[0020]
A third aspect of the present invention is a program, and the feature of the present invention is that it is installed in an information processing apparatus so that the information processing apparatus is controlled by a router connected to an external communication network. As a corresponding function, a function of monitoring a TCP-SYN packet including a connection establishment request flowing into the local communication network is realized, and as a function of monitoring, a function of counting the number of TCP-SYN packets having the same destination address; A function for notifying the other border router of the counting result of the counting function, a function for receiving the counting result of the counting function from the other border router, a counting result in the other border router received by the receiving function, and the counting This function implements a function that counts the counting results based on the counting results of the own border router. As a function of measuring, a function of detecting an increase rate of the counting result within a predetermined time and a function of issuing an alarm including information on the same destination address when the detection result of the detecting function exceeds a threshold value are realized. By the way.
[0021]
As a function of summing up, when realizing a function of specifying a source address of a TCP-SYN packet having the same summed destination address, and issuing a warning, when a detection result of the function to be detected exceeds a threshold value It is also possible to realize a function of writing information of a transmission source address specified by the specified function in the alarm.
[0022]
It is desirable to realize a function of suppressing the inflow of the TCP-SYN packet having the same destination address or the source address included in the alarm to the communication network based on the alarm issued from the function of issuing the alarm. .
[0023]
As the function of notifying and the function of receiving, it is desirable to realize a function of transmitting and receiving the counting result using I-BGP.
[0024]
A fourth aspect of the present invention is the information processing apparatus-readable recording medium on which the program of the present invention is recorded. By recording the program of the present invention on the recording medium of the present invention, the information processing apparatus can install the program of the present invention using this recording medium. Alternatively, the program of the present invention can be directly installed in the information processing apparatus via a network from a server holding the program of the present invention.
[0025]
This makes it possible to detect sophisticated attacks from malicious users such as distributed denial-of-service attacks using information processing devices such as computer devices, and to perform appropriate actions such as limiting or stopping malicious calls from entering the network. Therefore, it is possible to realize a communication network including a router that can avoid the target server from being overloaded.
[0026]
A fifth aspect of the present invention is a distributed denial-of-service attack detection protection method applied to a communication network including a plurality of border routers respectively connected to a plurality of external communication networks, and is a feature of the present invention. However, the border router monitors TCP-SYN packets including a connection establishment request flowing into the local communication network, counts the number of TCP-SYN packets having the same destination address, and sends the count result to other border routers. Notify and receive counting results from other border routers, count the counting results based on the received counting results in other border routers and the counting results of the own border router, and detect the rate of increase of the counting results within a predetermined time When the detection result exceeds a threshold value, an alarm including information on the same destination address is issued.
[0027]
When a transmission source address of a TCP-SYN packet having the same destination address is specified and an alarm is issued, information on the specified transmission source address can be written in the alarm.
[0028]
It is desirable to suppress the inflow of the TCP-SYN packet having the same destination address or the source address included in the alarm based on the issued alarm to the communication network.
[0029]
It is desirable to transmit / receive the count result between the border routers using I-BGP.
[0030]
DETAILED DESCRIPTION OF THE INVENTION
A communication network according to an embodiment of the present invention will be described with reference to FIGS. FIG. 1 is a conceptual diagram of a communication network according to this embodiment. FIG. 2 is a functional configuration diagram of the border router of this embodiment. 3 and 4 are diagrams showing the abnormal packet detection procedure of this embodiment. FIG. 5 is a flowchart showing the operation of the border router of this embodiment. FIG. 6 is a conceptual diagram of a communication network having more attack points than FIG. 1 of the present embodiment.
[0031]
As shown in FIG. 1, the present embodiment is a communication network 5 including a plurality of
[0032]
In addition, when the malicious user's site terminal is not impersonating another terminal, the incoming packet
[0033]
Based on the alarm issued from the inflow packet
[0034]
The I-
[0035]
Hereinafter, this embodiment will be described in more detail.
[0036]
In the communication network 5 of this embodiment, as shown in FIG. 1, the
[0037]
As shown in FIG. 2, the router
[0038]
The inflow TCP-SYN
[0039]
The TCP-
[0040]
Each of the
[0041]
The TCP-SYN packet is monitored by the
[0042]
3 and 4 show an abnormal packet detection procedure. In the example of FIG. 3, first, the TCP-SYN
[0043]
When DDOS is clever, sorting by SA may be difficult. For example, when a malicious user's
[0044]
FIG. 5 is a flowchart showing the operation of the border router of this embodiment.
[0045]
Step 1: The incoming TCP-SYN
Step 2: The incoming TCP-SYN
Step 3: As the count information of unit time Δt from time (T0 + nΔt), DA and SA information of the top 5 and the top 5 rates of increase in the output list of Step 2 are respectively sent to other border routers by the I-
Step 4: The inflow TCP-SYN
Step 5: The inflow packet
Step 6: The router
In this way, it is possible to prevent an overload of the
[0046]
In addition, as shown in FIG. 6, when a malicious user's site terminal attacks the
[0047]
A device for controlling the
[0048]
By recording the program of the present embodiment on the recording medium of the present embodiment, the computer apparatus can install the program of the present embodiment using this recording medium. Alternatively, the program of this embodiment can be directly installed on the computer device from the server holding the program of this embodiment via the network.
[0049]
This makes it possible to use computer devices to detect sophisticated attacks from malicious users such as distributed denial of service attacks and take appropriate actions such as restricting or stopping malicious calls from entering the network. The communication network 5 including the
[0050]
(Example summary)
As EC (Electric Commerce) develops, the protection of websites will become increasingly important from the viewpoint of security. According to the present embodiment, the target server can detect a sophisticated attack from a malicious user such as a distributed denial of service attack and take an appropriate action such as restricting or stopping the inflow of a malicious call to the communication network. You can avoid being overloaded.
[0051]
【The invention's effect】
As described above, according to the present invention, a sophisticated attack from a malicious user such as a distributed denial-of-service attack is detected, and an appropriate action is taken such as limiting or stopping malicious network inflow. As a result, the target server can be avoided from being overloaded.
[Brief description of the drawings]
FIG. 1 is a conceptual diagram of a communication network according to an embodiment.
FIG. 2 is a functional configuration diagram of a border router according to the present embodiment.
FIG. 3 is a diagram illustrating an abnormal packet detection procedure according to the embodiment.
FIG. 4 is a diagram illustrating an abnormal packet detection procedure according to the embodiment.
FIG. 5 is a flowchart showing the operation of the border router of this embodiment.
6 is a conceptual diagram of a communication network having more attack points than FIG. 1 of the present embodiment.
FIG. 7 is a conceptual diagram of a conventional communication network.
FIG. 8 is a diagram for explaining a 3-way handshake.
FIG. 9 is a diagram showing a format of a TCP / IP packet.
[Explanation of symbols]
1-4 External communication network
5 communication network
10-12, 20-22, 30-32, 40-42 router
13, 23, 33, 43 Site terminal
44-49, 51-56 Border Router
57 Target server
510 Basic router functions
511 Inflow TCP-SYN packet counting function
512 Inflow packet error judgment function
513 I-BGP communication function
514 TCP-IP communication function
515 Distributed Service Denial-of-Service Attack Detection and Defense Unit
Claims (17)
前記ボーダルータは、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する手段を備え、
この監視する手段は、
同一宛先アドレスを有するTCP−SYNパケットの個数を計数する手段と、
この計数する手段の計数結果を他ボーダルータに通知する手段と、
他ボーダルータからの前記計数する手段の計数結果を受け取る手段と、
この受け取る手段により受け取った他ボーダルータにおける計数結果および前記計数する手段による自ボーダルータの計数結果に基づき計数結果を集計する手段と
を備え、
この集計する手段は、
前記計数結果の所定時間内の増加率を検出する手段と、
この検出する手段の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する手段と
を備えたことを特徴とする通信網。In a communication network having a plurality of border routers connected to a plurality of external communication networks,
The border router includes means for monitoring a TCP-SYN packet including a connection establishment request flowing into the local communication network,
This means of monitoring is
Means for counting the number of TCP-SYN packets having the same destination address;
Means for notifying other border routers of the counting results of the counting means;
Means for receiving a counting result of the counting means from another border router;
Means for counting the counting results based on the counting result in the other border router received by the receiving means and the counting result of the own border router by the counting means;
This means of aggregation is
Means for detecting an increase rate of the counting result within a predetermined time;
And a means for issuing an alarm including information on the same destination address when a detection result of the means for detecting exceeds a threshold value.
前記警報を発出する手段は、前記検出する手段の検出結果が閾値を超えるときには当該特定する手段により特定された送信元アドレスの情報を前記警報に書込む手段を備えた
請求項1記載の通信網。The means for counting comprises means for specifying a source address of a TCP-SYN packet having the same destination address that has been tabulated,
2. The communication network according to claim 1, wherein the means for issuing the alarm comprises means for writing information of a transmission source address specified by the specifying means into the alarm when a detection result of the detecting means exceeds a threshold value. .
自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する手段を備え、
この監視する手段は、
同一宛先アドレスを有するTCP−SYNパケットの個数を計数する手段と、
この計数する手段の計数結果を他ボーダルータに通知する手段と、
他ボーダルータからの前記計数する手段の計数結果を受け取る手段と、
この受け取る手段により受け取った他ボーダルータにおける計数結果および前記計数する手段による自ボーダルータの計数結果に基づき計数結果を集計する手段と
を備え、
この集計する手段は、
前記計数結果の所定時間内の増加率を検出する手段と、
この検出する手段の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する手段と
を備えたことを特徴とするルータ。Connected to an external communication network,
Means for monitoring a TCP-SYN packet including a connection establishment request flowing into the local communication network;
This means of monitoring is
Means for counting the number of TCP-SYN packets having the same destination address;
Means for notifying other border routers of the counting results of the counting means;
Means for receiving a counting result of the counting means from another border router;
Means for counting the counting results based on the counting result in the other border router received by the receiving means and the counting result of the own border router by the counting means;
This means of aggregation is
Means for detecting an increase rate of the counting result within a predetermined time;
A router comprising: means for issuing an alarm including information on the same destination address when a detection result of the means for detecting exceeds a threshold value.
前記警報を発出する手段は、前記検出する手段の検出結果が閾値を超えるときには当該特定する手段により特定された送信元アドレスの情報を前記警報に書込む手段を備えた
請求項5記載のルータ。The means for counting comprises means for specifying a source address of a TCP-SYN packet having the same destination address that has been tabulated,
6. The router according to claim 5, wherein the means for issuing an alarm comprises means for writing information of a transmission source address specified by the specifying means into the alarm when a detection result of the detecting means exceeds a threshold value.
外部通信網に接続されたルータを制御する装置に相応する機能として、
自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する機能を実現させ、
この監視する機能として、
同一宛先アドレスを有するTCP−SYNパケットの個数を計数する機能と、
この計数する機能の計数結果を他ボーダルータに通知する機能と、
他ボーダルータからの前記計数する機能の計数結果を受け取る機能と、
この受け取る機能により受け取った他ボーダルータにおける計数結果および前記計数する機能による自ボーダルータの計数結果に基づき計数結果を集計する機能と
を実現させ、
この集計する機能として、
前記計数結果の所定時間内の増加率を検出する機能と、
この検出する機能の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する機能と
を実現させることを特徴とするプログラム。By installing on an information processing device,
As a function corresponding to the device that controls the router connected to the external communication network,
Realize the function to monitor TCP-SYN packets including connection establishment requests flowing into the local communication network,
As this monitoring function,
A function of counting the number of TCP-SYN packets having the same destination address;
A function for notifying other border routers of the counting result of the counting function;
A function of receiving a counting result of the counting function from another border router;
Realize the counting result based on the counting result in the other border router received by this receiving function and the counting result of the own border router by the counting function,
As a function of this aggregation,
A function of detecting an increase rate of the counting result within a predetermined time;
And a function for issuing an alarm including information on the same destination address when a detection result of the function to be detected exceeds a threshold value.
前記警報を発出する機能として、前記検出する機能の検出結果が閾値を超えるときには当該特定する機能により特定された送信元アドレスの情報を前記警報に書込む機能を実現させる
請求項9記載のプログラム。As a function of summing up, realizing a function of specifying a source address of a TCP-SYN packet having the same destination address that has been summed up,
10. The program according to claim 9, wherein, as a function of issuing the alarm, a function of writing information of a transmission source address specified by the specifying function in the alarm when a detection result of the detecting function exceeds a threshold value is realized.
ことを特徴とする分散型サービス拒絶攻撃検出防御方法。In a distributed denial of service attack (DDOSA) detection prevention method applied to a communication network having a plurality of border routers respectively connected to a plurality of external communication networks, the border router allows the local communication network to The TCP-SYN packet including the connection establishment request that flows into the network is monitored, the number of TCP-SYN packets having the same destination address is counted, this count result is notified to the other border router, and the count result from the other border router is displayed. The count results are counted based on the received count results of the other border routers and the count results of the own border router, and the rate of increase of the count results within a predetermined time is detected. Distributed denial of service characterized by issuing an alarm containing destination address information Attack detection defense.
請求項14記載の分散型サービス拒絶攻撃検出防御方法。15. The distributed type according to claim 14, wherein when a sender address of a TCP-SYN packet having the same destination address is specified and an alarm is issued, information on the specified sender address is written in the alarm. Denial of service attack detection protection method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002091785A JP3643087B2 (en) | 2002-03-28 | 2002-03-28 | Communication network, router and distributed denial-of-service attack detection protection method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002091785A JP3643087B2 (en) | 2002-03-28 | 2002-03-28 | Communication network, router and distributed denial-of-service attack detection protection method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2003289337A JP2003289337A (en) | 2003-10-10 |
JP3643087B2 true JP3643087B2 (en) | 2005-04-27 |
Family
ID=29236786
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002091785A Expired - Fee Related JP3643087B2 (en) | 2002-03-28 | 2002-03-28 | Communication network, router and distributed denial-of-service attack detection protection method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3643087B2 (en) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4480422B2 (en) * | 2004-03-05 | 2010-06-16 | 富士通株式会社 | Unauthorized access prevention method, apparatus, system, and program |
JP4074266B2 (en) | 2004-05-26 | 2008-04-09 | 株式会社東芝 | Packet filtering device and packet filtering program |
JP4371905B2 (en) | 2004-05-27 | 2009-11-25 | 富士通株式会社 | Unauthorized access detection device, unauthorized access detection method, unauthorized access detection program, and distributed service disablement attack detection device |
JP2006013737A (en) * | 2004-06-24 | 2006-01-12 | Fujitsu Ltd | Device for eliminating abnormal traffic |
JP4392029B2 (en) * | 2004-11-11 | 2009-12-24 | 三菱電機株式会社 | IP packet relay method in communication network |
JP4490307B2 (en) * | 2005-02-24 | 2010-06-23 | 三菱電機株式会社 | Network abnormality detection apparatus, computer program, and network abnormality detection method |
KR101343693B1 (en) | 2007-02-05 | 2013-12-20 | 주식회사 엘지씨엔에스 | Network security system and method for process thereof |
JP5216249B2 (en) * | 2007-06-12 | 2013-06-19 | 株式会社 ネクストジェン | Call control apparatus and call control method |
JP2016163180A (en) * | 2015-03-02 | 2016-09-05 | 日本電気株式会社 | Communication system, communication method, and program |
JP2019216305A (en) * | 2018-06-11 | 2019-12-19 | 国立大学法人 東京大学 | Communication device, packet processing method, and program |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001057554A (en) * | 1999-08-17 | 2001-02-27 | Yoshimi Baba | Cracker monitor system |
JP2002073433A (en) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | Break-in detecting device and illegal break-in measures management system and break-in detecting method |
JP3731111B2 (en) * | 2001-02-23 | 2006-01-05 | 三菱電機株式会社 | Intrusion detection device and system and router |
-
2002
- 2002-03-28 JP JP2002091785A patent/JP3643087B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2003289337A (en) | 2003-10-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7120934B2 (en) | System, method and apparatus for detecting, identifying and responding to fraudulent requests on a network | |
US7624447B1 (en) | Using threshold lists for worm detection | |
US7457965B2 (en) | Unauthorized access blocking apparatus, method, program and system | |
WO2016150253A1 (en) | Sdn-based ddos attack prevention method, device and system | |
US8156557B2 (en) | Protection against reflection distributed denial of service attacks | |
US9288218B2 (en) | Securing an accessible computer system | |
US20110138463A1 (en) | Method and system for ddos traffic detection and traffic mitigation using flow statistics | |
US8320249B2 (en) | Method and system for controlling network access on a per-flow basis | |
JP2006517066A (en) | Mitigating denial of service attacks | |
KR20120060655A (en) | Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof | |
Huang et al. | Countering denial-of-service attacks using congestion triggered packet sampling and filtering | |
JP3643087B2 (en) | Communication network, router and distributed denial-of-service attack detection protection method | |
KR100777751B1 (en) | Service disabling attack protecting system, service disabling attack protecting method, and service disabling attack protecting program | |
KR101352553B1 (en) | Method and System for DDoS Traffic Detection and Traffic Mitigation using Flow Statistic | |
WO2002025402A2 (en) | Systems and methods that protect networks and devices against denial of service attacks | |
WO2014075485A1 (en) | Processing method for network address translation technology, nat device and bng device | |
JP4602158B2 (en) | Server equipment protection system | |
JP2011151514A (en) | Traffic volume monitoring system | |
JP4278593B2 (en) | Protection method against application denial of service attack and edge router | |
WO2019096104A1 (en) | Attack prevention | |
TWI657681B (en) | Analysis method of network flow and system | |
JP4694578B2 (en) | Method and system for protecting a computer network from packet flood | |
JP2007259223A (en) | Defense system and method against illegal access on network, and program therefor | |
JP2008219149A (en) | Traffic control system and traffic control method | |
JP2006060599A (en) | Application service refusal attack defense method, system and its program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050119 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050125 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050126 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080204 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090204 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090204 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100204 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110204 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110204 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120204 Year of fee payment: 7 |
|
LAPS | Cancellation because of no payment of annual fees |